会社情報

パブリシティ

リスクマネジメントABC ネット接続の安全確保 人間の過失も考慮し運用 日刊工業新聞 2006年(平成18年)11月30日掲載

リスク管理
インターネット接続を安全に行うには、ファイアーウォールにより、外部ネットワーク(インターネット)、内部ネットワーク(組織内LAN)、そしてDMZ(隔離区域)に管理領域を分割し、領域ごとに異なるセキュリティーポリシーを適用する方策が通常用いられる。これにより、外部に公開しているサーバが不正侵入を受けても、内部ネットワークへの影響を抑止できるという考え方である。

ファイアーウオールとDMZこのように、管理される領域ごとに境界を設ける方法は、境界防御(Perimeter Diffence)と呼ばれている。この防御方法では、管理領域ごとに適用するセキュリティーポリシーを矛盾なくかつ適切に管理することが重要である。

こうしたネットワークでは、ファイアーウォールを通過してDMZや内部ネットワークにアクセスする通信に対してのみ防御すれば良かった。侵入検知システム(IDS/IPS)の設置や、ウィルスメールのゲートウエーでのブロックがこれにあたる。またブラウザからproxyサーバを経由することで、悪質なプログラムのダウンロードを防止するのも同様である。

しかし現在では、この方式への脅威も存在する。その例を二つ記そう。一つは、内部ネットワークに接続している可搬パソコン(PC)を持ち歩き、インターネットカフェやホットスポットで公衆ネットワークを利用した後、再度組織内の内部ネットワークに接続する場合である。もう一つは、自宅の環境から自身の所属組織が提供するリモートアクセスサービスを使用する場合である。

こうしたケースでの有効な対策として、「検疫ネットワークの構築」がある。検疫機能により、可搬PCは組織内のPCと同様の状態に更新される。こうすることで、外部での利用時に混入しかねない悪質ソフトなど、内部ネットワークへの脅威を排除することができる。

また、自宅PCでのファイル交換ソフト利用による情報漏えい事故も後を絶たない。一般的には、会社資産へのこうしたリスクが認知されたソフトのインストールは禁止されているだろう。セキュリティーポリシーの一貫性を保つためには、社内で導入を禁止されたソフトがインストールされたPCによるリモートアクセスは禁止すべきである。

「ネットワークを安全に構築する」ための最善策は、可搬PCの組織外への持ち出しを認めない、リモートアクセスを認めないという短絡的な解決策ではない。求められているのは、IT技術を活かし、管理領域ごとに「確実に」セキュリティーポリシーを適用できる環境を構築することである。

「危ないからネットワークを使わせない」ではなく、「危ないことが出来る余地がないネットワーク」が今や求められている。それには、リスク分析を踏まえた適切なポリシーに基づき、かつ、ヒューマンエラーを考慮した環境を、整斉と構築・運用をしていく以外にない。(日本総研ソリューションズ)


執筆 技術本部:佐久間 邦彦

※日刊工業新聞 2006年11月30日 掲載記事より転載

PDF版はこちらから(339KB)PDF

ページトップへ戻る

JSOLへのお問い合わせ

特集

特集SAP

SAP ERPの豊富な導入実績があり、企業の業務改革を総合的にご支援します。

特集Biz∫

人とシステムの融合による業務効率化を目指し、あらゆる企業の変革を迅速かつ確実に実現します。

特集オムニチャネル

コンサルティングからソリューションまでオムニチャネル化に向けた最適なご支援を提供します。

特集JSOLアグリ

農業生産に係る数理計画を中核に、農業生産者の経営指標の見える化と収益拡大を実現します。